AI代理程式首次發動大規模攻擊，駭客鎖定微軟、DataDog與CNCF的GitHub專案

資安業者 Pillar Security 揭露了名為 Hackerbot-Claw(又稱 Chaos Agent)的攻擊事件。這是史上首次有 AI 代理程式利用自然語言對軟體基礎設施發動全面攻擊。這波行動於 2026 年 2 月底展開，歷時 37 小時，鎖定 GitHub 上的重要專案，包括微軟、DataDog 與 Aqua Security 等知名廠商的開發項目。

攻擊快速升級，鎖定CI/CD管線漏洞

這波攻擊以機器速度進行，數分鐘內就能掃描漏洞並劫持開發工具。攻擊者主要鎖定開發人員用來測試與發布程式碼的自動化流程 CI/CD 管線（CI/CD pipelines）。透過找出管線設定中的錯誤，AI 代理程式得以植入惡意指令。

攻擊行動於 2 月 27 日展開，以閃電般的速度發動一連串攻擊。駭客首先鎖定微軟與 DataDog，利用分支名稱與檔案名稱注入等手法繞過安全過濾機制。DataDog 遭受攻擊後，被迫在 13 小時內緊急發布修補程式以阻止入侵。

這些初期攻擊只是更大規模行動的開端。2 月 28 日清晨，AI 代理程式已轉向 AwesomeGo 專案，在 30 分鐘內發送四次探測請求以測試其防禦能力。

第三階段攻擊造成最嚴重的破壞。AI 代理程式成功入侵 Aqua Security 的 Trivy 專案，刪除 97 個軟體發行版本，並清除 3.2 萬個星標（衡量專案受歡迎程度的社群指標)。最後，駭客再度鎖定 AwesomeGo 竊取安全權杖，並偽裝成合法開發者成功入侵 CNCF 的 project-akri 專案。

將開發者的AI助理變成共犯

最令人擔憂的是，AI 代理程式將開發者自己的助理工具變成共犯。許多程式設計師會使用 Copilot、Gemini 或 Claude 等工具。根據 Pillar Security 的研究，攻擊者使用一段 2,000 字的社交工程提示詞來欺騙這些本地 AI 助理，竊取雲端密碼與安全金鑰等敏感資料。這種提示詞攻擊代表一種轉變：數百萬行複雜的漏洞利用程式碼，如今被單一自然語言提示詞取代。

值得注意的是，儘管多數系統遭到攻擊，仍有一個防禦者成功抵擋。名為 Ambient Code 的專案使用 Claude Code 這款 AI 工具，在 82 秒內就偵測到惡意指令。研究人員在部落格文章中說明，這是「整個攻擊行動中唯一在執行階段阻止攻擊的控制措施」。研究人員也推測，雖然 AI 負責技術工作，但從攻擊時機判斷，幕後可能有一名人類策略者指揮，此人可能位於美洲地區。

研究人員指出，這波攻擊行動已經停止，受影響的專案也已修復。然而，攻擊者使用的手法已成為未來威脅的公開範本。

本文轉載自 HackRead。